jun 022015
 

cybercrimeIk moet toegeven dat ik even dacht “Responsible wat?” toen ik de berichten in de RSS-feed van de SURF Kennisbank voorbij zag komen. Daar staan sinds gisteren:

De bijbehorende PDF-documenten lijken overigens uit 2014 te komen. Maar de vraag die beantwoordt wordt in de stukken is nog heel actueel. Want wat is Resposible Disclosure? Het wordt in het document omschreven als:

“het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure”

Of voor gewone mensen, de omschrijving zoals hij bij Rijksoverheid.nl staat (in gegeneraliseerde vorm):

“Hoe kan ik een zwakke plek in een ICT-systeem van jullie organisatie melden?”

Het melden van een zwakke plek in een ICT-systeem (website of anderzijds) aan een bedrijf is namelijk niet helemaal zonder risico’s. Het strafrecht in Nederland maakt namelijk geen verschil tussen kwaadaardig hacken en ethisch hacken. Dus ook als je een systeem “alleen maar op mogelijke kwetsbaarheden wilde controleren omdat je het heel belangrijk vindt dat het veilig is, maar er geen enkele slechte bedoelingen mee had”, kan het je overkomen dat het openbaar ministerie je strafrechtelijk vervolgt.

Dat zou tot gevolg kunnen hebben dat je er voor kiest om de kwetsbaarheid dan maar níet te melden. En dat is ook niet zo handig (gezien vanuit het algemeen belang). En daarom is het handig/verstandig om beleid te hebben voor Responsible Disclosure. Daarmee zeg je als organisatie “als jij je aan deze afspraken houdt, dan gaan wij niet achter jou aan”, in de hoop daarmee de meldingskans te vergroten en de kans dat de melding gebeurt op een manier die voor jou als organisatie ook handig is.

Toch eens navragen of mijn werkgever die ook al heeft.

Deel dit bericht:
aug 252014
 

Jawbone OK, ok, dat was wellicht een beetje té flauwe filmverwijzing in de titel, maar toen ik in de reacties bij het bericht op Engadget dingen las als “Creepy? Hell yes!” moest ik toch wel even glimlachen.

Goed, iets meer uitleg: gisterenochtend vond er in Noord-Californië een stevige aardbeving plaats. Serieus genoeg. Maar bij Jawbone, makers van o.a. de Jawbone Up dachten ze: “hé daar kunnen wij wat mee!”. “We kunnen laten zien wat de kracht van ons systeem is!”.
Hoe zul je denken? Nou, de Up geeft namelijk (o.a.) automatisch je slaap-info door aan Jawbone. En nou heb ik geen Up, dus ik heb geen idee wat er precies in de algemene voorwaarden staat, maar er zal ongetwijfeld iets in staan of het door Jawbone mogen gebruiken van die data voor statistische doeleinden of zo.
Dat hoop ik tenminste voor ze, want dat hebben ze namelijk wel gedaan. Ze hebben bovenstaande grafiek gemaakt (op hun site is hij interactief) waarmee ze laten zien dat mensen (met een UP) wakker worden naar aanleiding van de aardbeving. De lijntjes geven de afstand tot het episch centrum aan. Logisch (en duidelijk zichtbaar) is dat mensen van de mensen die er dichter bij wonen (die voelen de schok ook harder) een groter percentage wakker wordt.

Eigenlijk is hier privacytechnisch helemaal niets aan de hand. Er zijn geen individuele gebruikers te herleiden uit de grafieken. Ik denk dat ook in Nederland geen enkele privacywaakhond hier over zou vallen (toch?). Maar hoeveel gebruikers van de Up zouden zich (tot vandaag) niet gerealiseerd hebben dat Jawbone “zomaar” toegang heeft tot *hun* data?
En is het eigenlijk wel *hun* data of hebben ze het gebruiksrecht van die data afgestaan aan (o.a.) Jawbone?
Ik weet wel dat het voor mij nog wel even een reden zou zijn om de kleine lettertjes er bij te pakken als ik een Up had. Niet dat het voldoende reden zou zijn om (principieel) geen Up te gebruiken, maar ik zou wel even willen weten wat Jawbone nou ook al weer nog meer met *mijn* data zou mogen.

Deel dit bericht:

Ik wil niet gevolgd worden

 Gepubliceerd door om 11:17  Internet, Tip, Tools
feb 252012
 

Do Not Track Nou, eigenlijk valt het best nog wel mee. Ik heb er niet eens altijd problemen mee als websites en bedrijven bijhouden wat ik doe. Het levert namelijk ook best vaak handige informatie op. Ik zou bijvoorbeeld ook liever een selectie kunnen maken van de reclamefolders die ik op de deurmat krijg in plaats van dat ik zomaar de hele stapel (of helemaal niets) te verwerken krijg.

Op internet werkt dat net zo. Ook daar is het eigenlijk best handig dat er partijen zijn die informatie over je verzamelen. En ik verzamel ook informatie over anderen. Dit weblog gebruikt Google Analytics om een beeld te krijgen van hoeveel lezers er voorbij komen en welke berichten dat ze lezen. Ik hoef echt niet te weten dat dat Jantje uit Eindhoven of Truusje uit Boxmeer is. Maar een beetje een beeld hebben van wie voorbij komt is wel interessant.

Lees verder….

Deel dit bericht: